我正在尝试为我的一些 Web 应用程序(ASP.NET,如果这很重要的话)进行一些即将成为常规的 cookie 值注入测试。我正在尝试为此插入一些 Javascript 和 SQL 特定的代码,但遇到了一些问题。
我有 FireFox、IE 7 和 8 以及 Chrome。 FireFox 的Add N Edit Cookies extension 不允许我将值更改为任何带有分号的值。 Nirsoft 的 IECookiesView 根本不会显示我想要的特定 cookie(ASP.NET 的会话 ID cookie)。
是否有任何其他用于编辑 cookie 的实用程序以便我可以对此进行测试?我的 Google-fu 似乎在这方面让我失望了。
【问题讨论】:
在您要编辑的 cookie 网站的地址栏中输入此内容。请记住,document.cookie 因您当前查看的域而异。 联合所有 从员工中选择 lname 按 au_lname 订购
编辑: Bobince 对分号的看法是正确的,所以这里是没有分号的 sql 注入。
javascript:document.cookie="SESSID=' union select password from users where id=1 -- ";
Tamperdata 是 firefox 的一个插件,具有预构建的 sql 注入和 xss 字符串,可用于测试传出请求。另一个选项是Acunetix,它可以测试 http 服务器变量以及用于 xss/sql 注入的 cookie 参数和更多漏洞。 Acuentix xss 测试仪是免费的。 w3af 和 wapiti 是免费和开源的,但它们不测试 cookie 变量。
【讨论】:
也许您可以尝试修改传出的 http 请求?就像modify headers 扩展一样。
另外,你可以纯粹从http分析的角度来看问题,直接使用一些http测试工具,而不是使用浏览器。我是一名 Java 开发人员,所以想到了 JMeter 和 Solex。
我怀疑直接修改 cookie 将是一个问题,因为扩展往往是 http 兼容的,就像你在 Add N Edit Cookies 中发现的那样。可以尝试直接修改cookies文件,希望firefox接受,但是听起来有点不靠谱。
【讨论】:
; 不能存在于 cookie 值中。不可能将其设置在 Set-Cookie 标头或 document.cookie 分配中,因为它将是一个分隔符,并且没有标准的转义方案将带外字符放入 cookie。
您需要一个自定义客户端或插件来发送 Cookie: 请求标头,包括分号;标准浏览器不会这样做。
【讨论】: